포스팅 내용

악성코드 분석 리포트

아이폰도 안전하지 않다! iOS 사용자 정보도 탈취하는 '몸캠 피싱 사기' 국내서 발견

아이폰도 안전하지 않다! iOS 사용자 정보도 탈취하는 '몸캠 피싱 사기' 국내서 발견


안녕하세요. 이스트시큐리티입니다.

최근 국내에서 안드로이드와 아이폰 사용자 모두를 대상으로 하는 '몸캠 피싱 사기'가 발견되었습니다.


'몸캠 피싱'이란 여성을 가장한 범죄 조직이 모바일에서 남성을 유혹해 알몸 화상 채팅을 요구하고, 이를 녹화해 지인에게 유포한다는 협박을 빌미로 돈을 요구하는 신종 사기 수법입니다.


지금까지 알려진 몸캠 피싱은 주로 랜덤 채팅 앱을 통해 시작되었습니다. 채팅 앱에서 여성으로 가장한 범죄조직이 피해자와 채팅을 시작하면, 범죄조직은 피해자에게 은밀한 대화를 하고 싶다며 모바일 메신저인 스카이프(Skype)나 라인(Line) 등으로 대화 장소를 옮깁니다. 그 후, '음성이 안 들린다' 또는 '영상이 잘 안보인다'라는 이유로 피해자에게 추가적인 앱 설치를 유도합니디.


피해자가 범죄조직에 속아 추가적인 앱을 설치했을 경우, 범죄조직은 앱에 몰래 숨겨둔 악의적 기능을 통해 피해자 핸드폰에서 주소록 정보를 탈취합니다. 이후 해당 정보를 악용해 본격적으로 피해자에게 협박을 시도합니다.


범죄조직에게는 협박의 매개체인 부모, 가족, 지인 등의 연락처를 훔칠 수 있는 악성 앱(APK) 설치가 필수적입니다. 따라서 몸캠 피싱의 주요 공격 대상은 출처가 불분명한 앱을 쉽게 설치할 수 있는 안드로이드 운영체제 기반의 스마트폰 사용자였습니다.


많은 사용자들은 iOS 환경의 스마트폰은 악성 앱을 직접 설치하기 어렵기때문에 몸캠 피싱 위협으로부터 상대적으로 안전하다는 인식을 갖고 있었습니다. 실제로 아이폰 사용자가 랜덤 채팅 등에서 몸캠 피싱 사기에 일부 노출되었으나, 추가적인 자료 탈취가 어려워지자 범죄자 스스로 몸캠 피싱을 도중에 중단한 사례도 있습니다.


그러나 최근 안드로이드 뿐만 아니라 iOS 환경의 아이폰 사용자까지 겨냥한 몸캠 피싱 사례가 발견되어 스마트폰 사용자들의 각별한 주의가 필요합니다.


[그림 1] 자극적인 문구로 앱 다운로드를 유도하는 사이트


이스트시큐리티 시큐리티대응센터는 해당 피싱 사이트들을 추적한 결과, 동일 IP 주소를 사용하며 마치 '성인들만의 만남'을 연상시키는 키워드로 one-***.com, 1***.net, 19***.com, 1004***.com 등 다수의 피싱 사이트를 확인하였습니다. 


해당 사이트에 접속할 경우, '찰진 만남', '확끈한 만남'과 같이 오타가 포함된 자극적인 문구를 사용하여 사용자가 각 스마트 기기 환경에 맞는 악성 앱 설치 버튼을 클릭하도록 유도합니다. 



안드로이드 환경의 공격 사례


안드로이드 스마트폰을 사용하는 피해자가 앱 설치 버튼을 클릭하면 'E2ECam'이라는 악성 앱이 설치됩니다. 이를 실행하면 국내 특정 이동통신사의 기본 앱 이미지로 위장한 로딩 화면이 보여집니다.


[그림 2] 국내 특정 이동통신사의 기본 앱 이미지를 도용한 악성 앱 (좌: E2ECam 악성 앱 로딩 화면, 우: 정상 앱 로딩 화면)


로딩 화면이 보여지게 되면, 악성 앱은 은밀하게 태국에 위치한 명령제어서버(C&C)와 통신을 시도합니다. 만일 C&C에 정상적으로 접속될 경우, 스마트폰에 송수신되는 문자 메시지(SMS), 연락처, 위치기반(GPS) 등의 개인 정보를 탈취할 수 있는 악성 명령이 내려질 수 있습니다. 


[그림 3] 태국 소재의 C&C 정보


또한 연락처 정보가 탈취되면 범죄 조직이 지인의 연락처 정보를 활용해 본격적인 금전적 협박을 가할 수 있습니다.



iOS 환경의 공격 사례


iOS 환경의 경우, 공격자가 APK를 통해 기기에 명령을 제어할 수 없습니다. 이에 범죄 조직은 피해자의 애플 계정을 탈취하는 방법을 시도했습니다. 


안드로이드 환경과 비슷하게, 범죄자들은 iOS 환경의 스마트폰을 가지고 있는 사용자에게 'App Store' 버튼을 클릭하도록 유도합니다.


[그림 4] 안드로이드와 iOS 선택창


피해자가 'App Store' 버튼을 누르면, 마치 실제 공식 App Store 처럼 꾸며진 화면을 확인할 수 있습니다.


[그림 5] 앱스토어 페이지 열기 화면


사용자가 열기 버튼을 누르면 '원나잇톡' 설치를 유도하는 화면이 발생합니다. 이 앱은 실제 공식 앱스토에서 배포중인 앱을 모방한 가짜 앱입니다. 공격자는 사용자가 이를 설치하도록 유도합니다.


[그림 6] 앱스토어 화면으로 위장된 사이트 화면

 

만일 사용자가 이 앱을 정상적인 서비스로 오인해 '받기' 버튼을 클릭하면 'iTunes Store에 로그인' 창이 나타납니다. 공격자는 사용자에게 Apple ID 및 암호를 입력하도록 유도합니다.


[그림 7] iTunes Store 로그인 화면으로 위장한 계정 탈취 화면


만약 피해자가 해당 로그인 정보 입력창에 속아 자신의 계정정보를 입력하면, 입력된 아이디와 암호가 범죄조직의 해외 서버로 유출될 수 있습니다.


[그림 8] C&C 서버로 아이디 및 비밀번호 전송 


범죄조직은 탈취한 iCloud 계정 및 비밀번호를 이용해 피해자의 iCloud에 무단 접근한 뒤, 연락처 등 주요 개인 정보를 탈취해 피해자를 협박하는데 사용합니다.


[그림 9] 애플 계정과 연동설정 된 개인정보 화면


앞서 안드로이드 및 iOS 환경 대상의 몸캠 피싱 사기 사례를 살펴본 결과, 이제는 iOS 기기도 몸캠 피싱으로부터 절대 안전하지 않다는 것을 확인할 수 있습니다. 또한 유사 위협 정황을 추적해보니, 이미 2016년 12월 경부터 상대방에게 iCloud 계정과 비밀번호를 탈취당해 몸캠 피싱 피해를 입은 사례들도 발견했습니다.


따라서 안드로이드 사용자들은 아래의 모바일 보안 수칙을 통해 유사 공격 방식의 피해를 입지 않도록 각별히 주의해야 합니다. 또한, 아이폰 사용자 또한 출처가 불분명한 사이트에서 아이디 및 비밀번호 등의 중요 정보를 입력하지 않도록 세심하게 주의하시길 당부 드립니다.


※ 모바일 보안 수칙 관련 포스팅

 - 스마트폰에도 백신이 필요한가요? 모바일 보안, 우리가 꼭 지켜야 할 몇가지 (자세히 보기)


한편, 스마트폰 보안 앱 '알약 안드로이드'에서는 이번 몸캠 피싱에 사용된 악성 안드로이드 앱을 탐지명 'Trojan.Android.FakeApp'으로 진단 및 치료하고 있습니다.







티스토리 방명록 작성
name password homepage